L'information est la monnaie du monde moderne.

Malheureusement, de nombreuses organisations manquent des contrôles et des normes appropriés pour protéger leurs actifs informationnels.

C'est particulièrement dangereux pour les entreprises qui traitent des données confidentielles d'utilisateurs. Une violation de données peut être un coup douloureux dont de nombreuses organisations ne se remettront pas.

ISO 27001 vous aide à mettre en œuvre un système de gestion de la sécurité de l'information (SGSI) solide pour protéger vos actifs informationnels les plus précieux et atténuer les risques de sécurité.

Nous avons interviewé Mahtab Haider, le directeur de la ligne de services ISO au sein de The Cadence Group, et lui avons posé sept questions sur la manière de maintenir votre certification ISO 27001.

Avant de plonger dans les questions d'interview, commençons par un bref récapitulatif de la norme ISO 27001.

Qu'est-ce que l'ISO 27001 ?

ISO 27001 est une norme internationale qui explore les contrôles et processus de sécurité d'une organisation pour s'assurer qu'ils protègent les informations confidentielles des utilisateurs.

Pour ce faire, ISO 27001 analyse la performance de la sécurité d'une organisation dans trois domaines principaux :

1. Confidentialité : Comment protégez-vous les informations confidentielles des utilisateurs contre tout accès non autorisé ?
2. Intégrité : Que faites-vous pour garantir que vos données soient exactes et complètes ?
3. Disponibilité : Quels processus avez-vous mis en place pour rendre votre information disponible aux utilisateurs lorsqu'ils en ont besoin ?

ISO 27001 vous fournit les lignes directrices et les exigences dont vous avez besoin pour mettre en œuvre un système de gestion de la sécurité de l'information (SGSI) de manière adéquate.

Le SGSI d'une organisation représente l'ensemble des contrôles de sécurité dans votre entreprise. C'est-à-dire, tout ce que vous faites pour gérer et coordonner vos contrôles de sécurité internes, y compris :

• Les gens : Chaque membre de votre organisation (c'est-à-dire, les employés, les parties prenantes, les consultants et les dirigeants)
• Processus et opérations : Processus et opérations directement ou indirectement liés à la protection des informations confidentielles
• Systèmes, logiciels et technologie : Systèmes informatiques, fournisseurs de SaaS, applications, et toute autre technologie qui vous aide à mettre en œuvre vos contrôles de sécurité
• Risques et menaces impliqués : Plans de contingence et contrôles que vous utilisez pour atténuer les risques et éviter les menaces
• Politiques et réglementations : Politiques et réglementations pour garantir la conformité à l'échelle de l'organisation

Maintenant que nous avons couvert les bases de l'ISO 27001, entrons dans les questions d'interview.

1. Combien de temps dure une certification ISO 27001 ?

Haider explique : « La certification ISO 27001 dure trois ans. La première année comporte un audit complet de certification tandis que les deuxième et troisième années sont des audits de surveillance. »

Qu'est-ce que cela signifie ?

Une fois qu'un auditeur examine vos contrôles et délivre votre certification, vous êtes conforme pour trois ans. Mais cela ne signifie pas que vous ne devez rien faire pour maintenir cette certification.

Voici comment cela se passe :

• Première année : L'auditeur effectue une analyse complète des contrôles de votre organisation par rapport aux normes ISO 27001, y compris un examen de la documentation, une revue sur le terrain, une analyse des résultats, un rapport d'audit de sécurité et une revue de gestion.
• Deuxième et troisième année : L'auditeur vérifie que vos contrôles fonctionnent toujours et suggère des mises à jour si nécessaire.

Si l'un de vos contrôles échoue alors que votre certificat est toujours valide, vous êtes obligé de documenter l'incident, d'informer les parties prenantes pertinentes et de résoudre le problème. Sinon, vous pouvez perdre votre certification.

En d'autres termes, obtenir votre certification ISO 27001 n'est que la première étape d'un processus continu.

2. Que doit faire une entreprise pour maintenir son SGSI après avoir reçu la certification ISO 27001 ?

« Une revue continue et des mises à jour de ses politiques et procédures de sécurité de l'information, ainsi que la mise en œuvre de processus et de contrôles sont nécessaires pour maintenir le SGSI », déclare Haider.

La norme ISO 27001 suggère de mettre en œuvre un programme d'audit interne. De cette façon, vous pouvez repérer les problèmes potentiels et les résoudre avant qu'ils ne deviennent des problèmes plus importants qui pourraient menacer votre certification.

Vous devez désigner un auditeur interne qui sera chargé d'évaluer vos contrôles périodiquement.

À ce stade, l'analyse des performances peut vous aider à comprendre comment vos contrôles fonctionnent et à améliorer vos actions en conséquence.

Nous vous suggérons également de réaliser des analyses de lacunes périodiques pour déterminer si vos contrôles répondent toujours aux exigences de l'ISO 27001.

En plus de cela, définissez un calendrier spécifique pour les audits internes et planifiez des réunions pour documenter et examiner vos conclusions.

3. Quelles sont les erreurs les plus courantes que vous voyez les équipes commettre lorsqu'elles baissent la garde après l'audit ?

Selon Haider, « Les changements organisationnels sont inévitables. Une fois certifiées, les entreprises doivent conserver en interne les connaissances relatives à la documentation et aux processus du SGSI. Il est courant que les organisations perdent de vue la conformité des contrôles et l'efficacité des politiques lorsqu'elles traversent des processus de gestion du personnel et des changements organisationnels. »

Cela est particulièrement pertinent pour les grandes organisations traitant avec plusieurs départements. L'information cloisonnée entre les différents départements peut vous exposer à des vulnérabilités. Pourquoi ? Le manque de contrôle sur vos processus de gestion des changements peut entraîner une mauvaise communication et des problèmes de sécurité potentiels.

Nous vous suggérons d'adopter une solution de gestion de projet qui vous aide à centraliser vos informations en une source unique de vérité. De cette manière, vous pouvez améliorer la transparence à l'échelle de l'organisation, éliminer les silos entre les départements et garantir l'adoption du SGSI.

4. J'ai reçu un certificat ISO 27001, mais une nouvelle menace pour la sécurité de l'information émerge. Dois-je mettre à jour ma documentation ?

Selon Haider, oui. "L'évaluation des risques de sécurité de l'information est une autre voie où les menaces à la sécurité de l'information peuvent être enregistrées et surveillées pour des actions d'atténuation appropriées."

Si vous découvrez une nouvelle menace qui peut compromettre votre sécurité de l'information, vous devez mettre à jour votre documentation décrivant la menace et les plans de contingence et actions potentielles que vous pouvez entreprendre pour atténuer le risque.

La clause 6 de l'ISO 27001 stipule que les organisations doivent analyser et considérer tout risque et toute menace potentiels liés à tout contrôle de sécurité.

Vous devez également documenter un calendrier d'action clair pour gérer les risques en cas de matérialisation.

5. Si une entreprise subit une violation de données après avoir obtenu la certification ISO 27001, peut-elle perdre son certificat?

« Les exigences du domaine de la gestion des incidents de la norme de certification ISO 27001 obligent les organisations à documenter et à informer les parties prenantes de tout incident de sécurité survenant pendant la période de certification. S'ils ne respectent pas le plan/politique de gestion des incidents lors d'un audit de surveillance, cela pourrait être catégorisé comme une non-conformité majeure, ce qui entraînera la cessation de la certification ISO », déclare Haider.

C'est pourquoi vous devriez constamment surveiller les performances de vos contrôles.

Les cyberattaques ont explosé depuis le début de la pandémie. Le FBI signale une augmentation de 300 % de la cybercriminalité rien que l'année dernière. On prévoit que la cybersécurité coûtera aux entreprises environ 6 000 milliards de dollars dans le monde d'ici la fin de cette année.

De nombreuses organisations ignorent l'importance de surveiller et d'évaluer les contrôles de sécurité après avoir obtenu la certification ISO. Le problème est qu'une violation de données peut souvent vous coûter plus cher qu'une certification. Cela peut faire couler votre entreprise.

6. Comment refaire une demande de certification ISO 27001 lorsqu'elle est sur le point d'expirer?

À ce stade, vous comprenez déjà les bases pour maintenir votre certification ISO 27001. La question devient maintenant, que pouvez-vous faire une fois qu'elle expire?

Heureusement, le renouvellement de votre certification n'est pas si compliqué.

Dans les mots de Haider, "Les organismes de certification tiennent un registre de l'accréditation de leurs clients. Les auditeurs travailleront avec vous pour planifier, programmer et renouveler la certification ISO 27001."

En d'autres termes, assurez-vous de rester en communication constante avec votre auditeur actuel pour anticiper votre prochain audit de sécurité.

7. Que devraient encore savoir nos lecteurs sur le maintien de la certification ISO 27001?

Haider partage un dernier conseil : « Avoir une plateforme technologique de conformité peut fournir aux organisations la structure de processus nécessaire pour mettre en œuvre la certification ISO 27001. »

D'autres éléments importants à considérer incluent :

1. Former votre équipe : Communiquez la valeur de la conformité ISO et assurez-vous que votre équipe comprend le processus. Cela facilitera le maintien de votre certification.
2. Trouver le bon organisme de certification : Cherchez quelqu'un ayant de l'expérience dans votre secteur, car cela peut accélérer le processus d'audit et vous aider à obtenir des informations précieuses pour améliorer votre conformité en matière de sécurité.

Le Verdict

Obtenir votre certification ISO 27001 est une étape importante pour toute organisation. Toutefois, maintenir cette certification à long terme est crucial.

En suivant les idées et les lignes directrices fournies dans cette interview, vous pourrez rester conforme et garder vos informations confidentielles en sécurité.

Si vous cherchez des conseils supplémentaires sur votre processus de certification, Secureframe peut vous aider à simplifier votre conformité ISO 27001 et vous éviter beaucoup de tracas en cours de route.